国都兴业 国都兴业徐亚非：IT风险评估与IT审计

本站讯 4月21日消息，第十届中国信息安全大会的安全创新与风险管理分论坛在北京举行，本站频道作为战略合作媒体在现场做了直播报道。

以下为国都兴业董事长徐亚非做主题为“IT风险评估与IT审计”的演讲。

主持人：如何最大限度的降低IT系统对业务的负面影响与风险，使IT系统充分服务，是IT每个专业人员都应该认真面对的问题。下面请出国都兴业董事长徐亚非，他的演讲题目是IT风险评估与IT审计，大家欢迎。

徐亚非：大家下午好。今天我介绍的题目，可能跟安全似乎看着有点不太相近。实际上它是一个现在近几年，特别从近几年来说，大家谈到解决信息安全的最基本的最基础的问题。那么就是说的是信息系统的一个风险，与信息系统的审计。

随着信息技术在各行业普遍和深入的应用，用户信息系统的正常运行已经成为业务正常运行最基本的条件之一。

意外的灾祸，系统的故障都有可能造成信息系统不能正常工作。信息安全越来越成为我们信息化建设和管理中需要密切关注的问题。

如何保证业务核心的数据安全，已经是目前迫切需要解决的问题。

今天我们可以看到，几乎所有的行业，用户的业务都是建设在信息基础之上的，IT与业务的融合，给用户带来了一个效率的提升，和保持一个持续的竞争力。

正如信息系统具有潜在的投资回报一样，信息系统同时存在潜在的风险。就是IT与业务的融合，在这个提升用户的效率和保持持续的竞争力的同时也加剧了信息业务可能面临的风险。就是信息系统给用户业务的操作和业务管理，带来的这个高效和便捷的同时，也给外部和内部利用信息系统犯罪带来了容易性和隐蔽性。

人们已经认识到，任何注重IT与业务融合的用户都应该像管理其他的风险一样，来管理信息系统的风险。

去年五部委发布了一个中国第一步《企业内部控制基本规范》，标志着国内企业内部控制规范的体系建设，取得了一个比较大的突破。IT治理与IT风险控制，作为一个重要的一环也进入到了规范的实践阶段。这是在企业内控方面。我们国家现在在推行的信息安全保护，也进一步明确落实了信息安全保护条例，管于信息安全等级保护的有关规定，同时这两个是很有意义，一个从很大的范围，就是从信息系统的风险角度来去讲怎么去管理，怎么去控制，还有一个讲信息系统的安全性，本身信息系统安不安全的角度，这两个我觉得都是在我们一个相辅相成的这么一个关系。

IT的风险概念是什么？IT风险涵盖的范围是什么？我觉得现在当然这个问题讨论很多，一般不在这种会上，都在IT治理峰会上，基本上由国际商大五大去探讨，本身我们认为，它的这个定义也比较存在有争议，因为它确实从风险的理解、认识程度，或者对风险认识的角度不同有不同的解释。我现在认为我比较赞同这种解释，就是IT风险包含四个方面的风险，安全性，符合性，可靠性和有效性。从这几个看，信息系统的安全性实际上是IT风险的其中的一个部分，一个很重要的部分。

我们也有人说，把IT性解决，是不是把IT风险就规避了？不可能吧，因为我们有四个方面的风险，我们现在谈的信息安全是解决其中的一个方面。本身从IT风险的方法来看，实际上主要是两大内容，一个是对IT风险的评估，一个是IT审计。那么IT风险的分类也比较多，我就是提出几个来说，来看这个分类。IT治理的风险，它是由于缺乏明确的IT治理结构，与IT治理机制而造成信息化管理失控的风险；第二个是安全风险；第三个是完整性风险；第四个是合规性风险。

本身IT风险的评估支撑着这个体系，基本上就是，大家比较熟悉的，Cobit it治理框架，和Iso1335，还有Iso27001，还有COSO和ITIL，运维管理。

本身IT风险评估包括，采用COSO获得企业内控规范制订用户整体的IT治理框架。采用ISO13335对企业IT系统的操作风险进行分析和管理。采用Cobit作为对用户IT治理的控制架构。从战略、战术、运营层面的IT进行评测，量度和审计。采用IS027001对IT风险进行分析和管理。采用ITIL对运维管理进行风险梳理与分析。在评估过程中，参照五部委发布的《内部控制基本管理规范》对IT整体的风险进行分析梳理。

本身IT风险评估的相关要素，围绕有四个，信息系统的资产的识别，对这个单位有多少信息系统要进行梳理？那么梳理以后，我们要在梳理过程中把它梳理清楚，梳理清楚以后，我们来去研究对它的威胁和发生的可能性，在这个基础上，我们再确定安全的风险点，IT的风险点在哪儿？然后风险发生的因素，我们每个单位，各行各业都有一个自己的当时的叫IT风险控制项，共是很多的管理、规范、流程这些东西。把这几个相关起来来去做IT风险评估的工作。第一个最重要的实际上就是IT资产的梳理。

本身在处理过程中，研究再开始对风险进行分析和梳理的时候，我们可以用等级保护理论，要求对信息系统的划分的方法来去确定风险点和风险度。

本身IT风险的评估与IT审计实施的步骤，基本上就是这个是一套的。对资产进行风险描述，对业务系统进行全面的风险评估。然后出具IT风险的评估报告。最后得出一个IT审计要对收集审计数据做综合分析，最后是IT审计报告，根据IT的风险评估提交一个IT审计报告。我们目前在国内已经开始，我们和审计署在大型企业尝试在做这方面的工作，还是挺有效。我们现在基本上国内市场的，我们说的五大，实际上做的是第一部分的工作，后面怎么做，是大家探讨的一个问题。

比如我们到企业里，企业里给你一批数据，谁保证数据的真实性呢？你的用户不能自己保护，一定有第三方的机构，认为这个数据是真实性完整性的。也有人说，我经常做审计就是假帐真查，这个要解决这个问题，所以我们在尝试，审计署也在尝试去做信息系统审计，也在这方面做尝试，这样的话需要有一个技术支撑，本身我们这个国都兴业就是做信息审计技术这方面工作，所以是一个很好的结合。

IT审计，实际上的本质上是一种IT风险控制的方法，它就是通过IT审计可以确认IT系统是否安全、合规、可靠、有效，最大的是这几个方面。

刚才我说的是四个风险的方面，我们现在国内做得最多的是前两个，是信息系统的安全审计，我们现在说的网络审计，数据库审计等等做这个。还有就是业务的合规性审计。目前我们做的是这两个，后面两个现在做得比较少，可能牵扯到一个信息系统的整个生命周期问题。就是你信息系统在开发的时候，在测试的时候，在上线以后，运行维护整个的一个周期，IT审计应该在贯穿在整个周期里面，所以这个东西就是，我们目前咱们国内也是在慢慢尝试做。

信息的可靠性也很重要。你做的信息化工作，是不是达到了你单位组织目标所期望的那样的？经常是投资了以后，花很多钱，建了网络，建了信息系统，最后就是效率很低，这样的话，但是这个东西只能是怎么去评价它。实际上，将来通过IT审计，是能够去评价它的，能够准确量化去评价它。

本身现在我就是刚才侧重说了，现在的我们目前来说，信息系统审计技术，在我们国内已经开始了，在两个方面，一个是在企业内控管理方法，包括企业的IT治理，IT风险控制，业务流程合规性的检查，操作风险控制。另外一个是在信息系统等级保护这方面，我们大家看到了，我们现在所说的这个信息安全审计。

本身IT审计技术方法，也就是围绕这几个，就是首先要了解信息系统的审计方法，就是我们右上角有一套方法。这个五大是做得非常好的，都有很成熟的模板来去做这个事情。第二个就是描述信息系统的审计方法，就是图形描述法，表格描述法，控制举证法等等。下面是分析信息系统流程的这个个审计方法，快照、追踪法、影像法。最后一个是测试信息系统流程的审计方法。这一块就是目前来说，五大他们现在很少做的这块，也是在跟我们探讨这个问题，我要有工具来去获取，去验证。而且不光是抽样检查，还可以是连续性的测试方法，综合测试法，测试的这种方法，数据法。还有一个是嵌入式模块的审计方法，我们在对ERP系统进行审计的时候，先分析是整个的一个业务管理的流程，然后再确定这个审计点，审计点，然后把审计点采用一定的技术手段，来去获取审计数据，然后会把审计数据汇总再做综合的分析。

本身国都兴业，名字就叫这个，所以就是信息系统审计技术领域最早最专业的公司，专门做这个，其他的东西也不做。本身我们在技术层面上，我们经过几年，也做了网络慧眼等一系列产品，对IT的技术设施，信息安全，网络应用，数据库应用，以及业务系统等方面提供全方位的实时监测审计，企业内控审计等等。

我们做IT审计，要对用户的业务环境，和信息系统详细细致的了解后，依据国家的和行业的、单位的法律法规规定，加强信息系统安全性和规范业务的活动为目标，提出体系化的IT审计方案。帮助用户构建可靠性和合规性的监控审计体系。及时发现和规避来自外部和内部的各种安全和业务风险，提升用户对信息系统的安全的可控能力。让IT风险尽在掌控之中，我们的口号就是这样。本身围绕的是IT的审计方案和核心技术，然后在这个基础上，根据不同的用户，根据用户自身IT的环境，信息系统的业务环境，业务情况，所遇到的风险，来做出一个解决IT的审计的解决方案。

本身成为产品，实际上它是属于几大类，一大类就是信息审计，第二大类是数据库审计。很多的业务审计都是围绕着，因为业务系统的核心是数据，实际上核心是在数据库这块。在上面还包括对业务的审计，对网络的射击，一般侧重于安全性的，比如说网络行为，网络的信息内容，日志等等的。

本身我们这个产品已经连续两界入选中央国家机关安全审计产品指定个供货商。

我们做的一些案例，一个就是在IT审计和IT安全审计上面，和审计署来做过我们国家的信息系统的审计试点，做ERP的审计，它的核心是数据库。

本身在审计过程中，还是起到了很好的作用，发现了一些，也审计到了一些安全性的问题，好几年都不知道，都没有发现这个，就是到比如发现到晚上12点，对某一个终端的数据库进行更新，实际上这个是平时他们应用了这么多年都没有在日志这块注重到这块，经过连续性的监测发现了这个问题，这个触动也是比较大。怎么解决多点，多探头的审计，集中管理，把各地的审计，像黑格子一样部署到底下以后，到监控中心每天把数据传送上来，汇总做分析，然后出报表，这是一类。再一类就是在金融业银行，做业务关键数据的审计项目，就是操作风险。就是围绕着操作规程来去做，来做操作风险。因为在这个行业里，也是有一些仙规则，比方说，在这个贷款方面，那么超过多少额度以上要由总部的风控部门来去审查，那么在底下操作的时候，可以把它抄成很多不超过这个数字，那么就是一笔一笔短期内放贷多次贷出去。如要有这种审计的手段，那么就是实际上归类为一种，违规措施的异常行为，就能够及时发现问题。

再一个就是电信运营商的大流量的信息安全审计项目。大概在40G的流量环境下做信息内容的审计。

最近我们完成的就是仅次于首都机场生产系统的一个审计，我们现在机场的业务系统，有17个子系统，在上线前在实验环节中调好了，运行发现了问题，就是一个协调工作，等于我们了登记牌把行李一托运，从这个系统走到那一个系统。运行过程中经常会协调上出现问题，有一些检查不出来，不知道问题出在哪儿。我们就做了一个项目，用上了效果就非常好，在哪个环节出了问题，有一个流程，是什么时候过去的，你回应了没有，把中间的相应时间也给审计出来，这样看系统效率怎么样，而且发现问题，我发出请求，但是你那边没有回应是你的问题，不是我的问题，这样能很快定位，所以这个系统同时又扩展到第二个大的方面，整个机场集团就点着名说那个东西非常好，当时也不知道叫什么，就是有那么一个软件，非常起作用，这次我们在这边这个机场扩建的时候，我们还要用，所以说看出来了，就是说，能够对IT的运行能够去带来好处。

我今天的发言就到这儿。最后一句话，IT审计，将IT风险尽在掌控之中，谢谢大家。

提问1：徐老师你好，我想请教一下，在信息系统评估当中，IT产品的评估和信息系统评估当中，有着什么样的角色和决定因素，谢谢。

徐亚非：IT产品的评估。这边我讲的，目前在这个领域里，更讲究的是信息系统的风险评估，不太侧重于产品本身的，不是指的是产品评估，本身是信息系统，特别是侧重于业务系统，信息系统支撑上的业务系统，两大块，信息系统侧重于安全系统评估，整体是IT风险的评估，是这么一个概念。

提问2：我想问一下，具备什么样的资质才能够做这种IT审计，这种资质是必要的吗？

徐亚非：现在还没有资质的要求，因为这个领域比较新，因为我们碰到过，咱们国家很大的一个运行商，第一次来把这个IT风险评估与IT审计想找国内企业做，这可能跟国家政策有关系，信息的安全，但是现在没有，对这个IT，能做IT风险评估的，我估计再往后需要有这方面的资质。原来都是五大做，他是靠的国外的这种品牌的资质，并没有说中国能够对他的一个资质的认可。

提问3：杨总您好，我想跟您交流一个问题，目前在审计方面，大家比较关注的，觉得审计是属于事后审计，很多人会提出一个观点，就是能否在事后审计之前，能够提出来一个事前能够控制？所以想听听您这方面的观点，谢谢。

徐亚非：从审计角度来讲，就是说，IT审计要立足想把审计点往前移，从传统的财务审计都是典型的事后审计，事后去看帐本，IT审计，力图想把审计点往前移，在IT审计方面是连续性的，持续连续性的审计，能够在发现问题，马上能够发现问题。这个对于控制方面来说，现在控制和审计是两个方面的问题。并不是说审计里面要有控制，审计就是审计，不研究不侧重于在控制这方面的技术。所以现在信息安全的这个比较乱，很多叫网络行为管理，是管理软件，首先问，审计是什么，首先审计的数据全不全，比如事后审计，得必须在记录的审计数据里去分析、发现、追踪问题，你连记录不全你查什么。但是试图现在把它叫做实时审计，一个是事后审计，一个是实时审计，就是想把审计往前移，这样通过技术这方面才能去做得到，在大流量的数据下，要怎么能够实施把数据获取再分析，就是做这个方面的。大量的事后审计比较容易，事前，实时审计比较难一点，因为有一个快速规则的匹配问题。

主持人：今天我们的论坛发言到此结束了。刚才四位演讲嘉宾从各个不同的角度跟我们做了精彩的演讲，我们在此对他们表示感谢。

今天的论坛到此结束，谢谢大家，大家辛苦了。